ONTAP監査イベントログの表示と処理
変更を提案
PDF
監査イベント ログを使用すると、ファイルのセキュリティが適切かどうか、またファイルやフォルダへの不適切なアクセス試行があったかどうかを判断できます。 `EVTX`または `XML`ファイル形式で保存された監査イベント ログを表示および処理できます。
-
EVTXファイル形式変換された `EVTX`監査イベント ログは、Microsoft Event Viewer を使用して保存されたファイルとして開くことができます。
イベント ビューアでイベント ログを表示する際に使用できる2つのオプションがあります。
-
全般表示
イベント レコードに対し、すべてのイベントに共通する情報が表示されます。このバージョンのONTAPでは、イベント レコードに関するイベント固有のデータは表示されません。詳細表示を使用すると、イベント固有のデータを表示できます。
-
詳細ビュー
フレンドリ表示とXML表示が利用できます。フレンドリ表示とXML表示には、すべてのイベントに共通の情報とイベント レコードのイベント固有のデータの両方が表示されます。
-
-
XMLファイル形式`XML`監査イベント ログは、 `XML`ファイル形式をサポートするサードパーティ製アプリケーションで表示および処理できます。XML スキーマと XML フィールドの定義情報があれば、XML 表示ツールを使用して監査ログを表示できます。XML スキーマと定義の詳細については、 https://library.netapp.com/ecm/ecm_get_file/ECMLP2875022["ONTAP 監査スキーマ リファレンス"]を参照してください。
イベント ビューアを使用したアクティブな監査ログの表示方法
クラスタで監査の統合プロセスを実行している場合、統合プロセスにより、監査を有効にしたSVMのアクティブな監査ログ ファイルに新しいレコードが追加されます。このアクティブな監査ログは、SMB共有でアクセスしてMicrosoftイベント ビューアで開くことができます。
イベント ビューアには、既存の監査レコードが表示されるだけでなく、コンソール ウィンドウの内容を更新できるオプションもあります。アクティブな監査ログにアクセスするために使用される共有でoplockが有効になっているかどうかに応じて、新たに追加されたレコードをイベント ビューアで表示できるかどうかが異なります。
共有のOplocks設定 |
動作 |
有効 |
その時点までに書き込まれたイベントを含むログがイベント ビューアに表示されます。更新操作を実行してもログは更新されず、統合プロセスで追加された新しいイベントは表示されません。 |
無効 |
その時点までに書き込まれたイベントを含むログがイベント ビューアに表示されます。更新操作を実行するとログが更新され、統合プロセスで追加された新しいイベントが表示されます。 |
|
この情報は `EVTX`イベント ログにのみ適用されます。 `XML`イベント ログは、ブラウザで SMB 経由で、または任意の XML エディタまたはビューアを使用して NFS 経由で表示できます。 |